Для восстановления запрашивается только логин и email, после чего выдает
Не совсем ли просто для того что бы взломать чей-то ак? новый пароль должен высылаться на email а не выводиться в окне браузера, а еще лучше что б он не сам менялся а предлагалось ввести новый пароль как это было на С4.